기업들은 뒤늦게 중소기업정보보호협회(IASME)로부터 해당 사실을 통보받은 것으로 알려졌다. IASME는 CES를 정보 보안 인증표준에 포함시킨 바 있다. 따라서 정부 데이터 관련 작업에 대해 계약하고 싶은 공급 업체는 CES 또는 IASME에서 인증한 다른 기관으부터 인증을 획득해야 한다.
IASME의 이사인 엠마 필포트 박사는 각 중소기업에 이메일을 보내면서 퍼베이드 소프트웨어(Pervade Software)가 만든 플랫폼과 CES의 구성 오류에 대해 설명했다.
그 내용에 따르면 알려지지 않은 사람이 퍼베이드 평가 플랫폼에서 생성된 로그 파일의 전자 메일 주소 목록에 액세스했으며 인증 기관의 전자 메일 주소, 회사의 전자 메일 주소, 회사 이름, IP 주소 등을 확인했다. 다른 정보는 침해되지 않았다. 평가 포털 자체는 어떤 방식으로도 영향을 받지 않았으며 시스템의 계정, 기업에 대한 질문과 답변, 기업이 작성한 내용 또한 안전하다. 이 로그 파일은 퍼베이드 시스템 중 하나의 구성 오류로 인한 것으로 알려졌다. 퍼베이드는 오류 해결을 위해 즉각 조치를 취했으며 문제를 해결했다.
이번 정보 유출은 관련 기업의 재무 정보에는 영향을 미치지 않았다.
어쨌든 더 나은 디지털 보안 관행으로 알려진 CES에서 데이터 유출 사건이 발생한 것은 아이러니한 일이다.
한 기업 관계자는 "우리는 정부 기관과 거래를 하기 위해 CES에 등록하고 감사를 의뢰하기 위해 비용을 지불했다. 그리고 데이터 유출 사건이 발생했다. 이제 누군가의 손에 정부와 협력한 기업의 명단이 들어갔다는 뜻이다."라고 말했다.
공격자는 이런 정보를 이용해 피싱 등 다른 공격을 수행할 수 있다. 예를 들어 정부 기관으로 위장해 계약 내용으로 기업을 유혹하는 것이다.
퍼베이드와 IASME는 기업들에게 문제에 대해 자세히 설명하고 오류 발생 방지를 위해 후속 조치를 취했다.
